Nel mondo dello sport dilettantistico, la gestione corretta della privacy dell’associazione sportiva e la conformità al GDPR sono diventate tematiche fondamentali.

Anche le associazioni sportive dilettantistiche devono adeguarsi alla normativa privacy: la raccolta dei dati personali degli associati e la loro conservazione integra, infatti, il trattamento di dati personali.

L’importanza della compliance

Perché focalizzarci sul GDPR nel mondo dello sport? Per questi motivi:

• vengono trattati dati particolari (ex dati sensibili) legati allo stato di salute di una persona, nel caso di infortuni, terapie, controlli eccetera. C’è quindi uno stretto collegamento e coinvolgimento con il mondo scientifico e medico, come medici, fisioterapisti, specialisti, poliambulatori, centri medici e riabilitativi;
• durante le attività sportive vengono fatte video e foto che poi le associazioni o società sportive pubblicano nei siti o nei social, come veicolo di comunicazione e promozione sia per la propria visibilità che per quella degli sponsor;
• vengono organizzate attività collaterali, come iniziative ed eventi. sia a carattere sociale che promozionale per avere nuovi iscritti alle attività sportive o, semplicemente, nuovi soci;
• il valore dello sport sta andando oltre al puro aspetto ludico e si stanno mettendo in piedi iniziative di “sport marketing” che coinvolgono sia le associazioni e società sportive che gli sponsor, i quali potrebbero ricevere dalle prime i dati per iniziative promozionali e commerciali.

Privacy e società sportive dilettantistiche: il consenso

In ottemperanza al principio di accauntability ogni modulo di tesseramento, partecipazione a eventi sportivi, partecipazione a campionati e via dicendo dovrebbe contenere obbligatoriamente una sezione nella quale poter fare esprimere il consenso espresso a ogni tesserato/partecipante, anche solo visitatore in prova presso la struttura.

Secondo il Garante della Privacy, il consenso reso dall´atleta alla società sportiva di cui fa parte a trattare i dati sensibili che lo riguardano, e a comunicare o diffondere quelli comuni, deve essere acquisito sulla base di un´idonea informativa, che renda chiare le circostanze indicate nell´art. 10 della legge n. 675/1996, specie sulle finalità e modalità del trattamento, sull´ambito di diffusione dei dati e sui diritti spettanti ai sensi dell´art. 13 della legge. Il mero inserimento dell´informativa nei c.d. regolamenti federali non risulta idoneo a consentire all´interessato di rilevare con evidenza ed immediatezza le informazioni essenziali sul trattamento dei dati, tale da permettergli di esprimere un consenso libero e consapevole.

Ai sensi dell’art. 13 del GDPR, l’informativa fornita dalla società sportiva deve contenere informazioni sull’identità e i dati di contatto del Titolare del trattamento, dell’eventuale Responsabile per la protezione dai dati/Data Protection Officer (cosiddetto DPO) del trattamento, delle diverse finalità dei trattamenti.

Soltanto dopo aver comunicato l’informativa la società sportiva può raccogliere e poi proseguire il trattamento dei dati previo rilascio del consenso scritto informato, consapevole ed espresso da parte del singolo atleta. Non sempre questo avviene.

GDPR e associazioni sportive: il registro dei trattamenti

l Garante privacy con il comunicato stampa dell’8 ottobre 2018 ha aggiornato le istruzioni sul registro dei trattamenti,  indicando che “sono tenuti a redigere il registro le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica ecc.), o anche di dati relativi a condanne penali e a reati”.

In particolare viene specificato che “rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, le fondazioni e i comitati”.

Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio:

• associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati;
• associazioni a tutela di soggetti cosiddetti “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.;
• associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.;
• associazioni sportive con riferimento ai dati sanitari trattati;
• partiti e movimenti politici;
• sindacati;
• associazioni e movimenti a carattere religioso.

Gli step da seguire per l’adeguamento

Gli step da seguire per rispettare i requisiti minimi sono:

• la predisposizione delle informative, come previsto dagli articoli 13 e 14 del Regolamento GDPR, nei confronti degli associati e giocatori che fanno parte dell’ente sportivo, dove prevedere il consenso sia per il trattamento dei dati particolari, ex dati sensibili, (obbligatorio), che per attività di carattere promozionale e di marketing da parte di sponsor e partner dell’ente sportivo (facoltativo);
• l’autorizzazione alla divulgazione di foto e video tramite il sito web e i social dell’ente sportivo, con la dovuta attenzione nei confronti dei minori, che prevede l’autorizzazione da parte dei genitori o tutori;
• la nomina di responsabili del trattamento di collaboratori e figure professionali che ruotano nel sistema sportivo, come medici, fisioterapisti, strutture sanitarie ecc.;
• la redazione del registro dei trattamenti, ponendo l’attenzione per quei trattamenti che prevedono il trattamento di dati particolari.

GDPR e associazioni sportive: quando serve il DPO

Esaminando l’art. 37 GDPR, esso prevede la nomina obbligatoria dei DPO in casi ben precisi e qualora il trattamento dei dati riguardi dati sensibili su larga scala.

Dal momento che un centro sportivo (se isolato e senza sedi sparse sul territorio) non dovrebbe trattare dati sensibili su larga scala, si ritiene non dovuto il DPO (ma va valutato caso per caso).

Inoltre il certificato medico di idoneità alla pratica sportiva potrebbe non rappresentare un dato sensibile trattato in via principale. Infatti il certificato medico di idoneità, per le informazioni che riporta (“idoneità alla pratica sportiva” o “il soggetto non riporta controindicazioni in atto alla pratica sportiva”) potrebbe anche esser definito come dato non sensibile.

Conseguenze di un mancato rispetto delle prescrizioni: le sanzioni

Il concetto di responsabilizzazione con la susseguente responsabilità risarcitoria (art. 82 GDPR) e l’inasprimento delle sanzioni amministrative pecuniarie (art. 84 GDPR) – nonché la responsabilità penale di cui agli artt. 167 e ss. del Codice privacy – possono impattare sia sulle Federazioni sportive di appartenenza, nonché sulle singole società e associazioni dilettantistiche con conseguenze anche molto gravi sia in termini di capacità economica che sotto il profilo del danno reputazionale.

Come noto l’art. 84, parag. 4, GDPR stabilisce che:

“la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10.000.00000 EURO, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4”; e al paragrafo 5 prevede che “la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EURO, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; b) i diritti degli interessati a norma degli articoli da 12 a 22; c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49; d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1”. Il paragrafo 6 dell’art. 84 stabilisce inoltre che “l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EURO, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.

Fai parte di una associazione sportiva e non sei sicuro di aver ottemperato alla normativa vigente in materia di dati personali?

Chiamaci o scrivici: un nostro consulente per la privacy sarà a tua completa disposizione.